當(dāng)前，企業(yè)面臨的五大IT威脅包括了惡意軟件感染、安全漏洞、違規(guī)操作，以及針對(duì)郵箱帳戶的網(wǎng)絡(luò)釣魚。而物聯(lián)網(wǎng)技術(shù)的普及也會(huì)破壞現(xiàn)有的IT風(fēng)險(xiǎn)管理機(jī)制。

 在技術(shù)公司MetricStream對(duì)20個(gè)行業(yè)的120多家企業(yè)展開(kāi)的全球調(diào)查中發(fā)現(xiàn)，近一半(44%)的大型企業(yè)認(rèn)為未來(lái)三年物聯(lián)網(wǎng)(IoT)技術(shù)在干擾IT風(fēng)險(xiǎn)管理項(xiàng)目方面具有相當(dāng)大的隱患。

由于可連網(wǎng)設(shè)備大量普及，各個(gè)網(wǎng)絡(luò)連接設(shè)備的管理程序并不統(tǒng)一，許多管理員在做物聯(lián)網(wǎng)設(shè)備的管理架構(gòu)時(shí)很容易忽視物聯(lián)網(wǎng)的互通、完整以及安全協(xié)作層面的考量。

此外，除了簡(jiǎn)單的可見(jiàn)性之外，連接設(shè)備的軟件開(kāi)發(fā)混亂狀態(tài)可能是最大的具體安全問(wèn)題，不僅一些設(shè)備開(kāi)始不安全，即使制造商發(fā)布補(bǔ)丁的缺陷，也可能難以分發(fā)和應(yīng)用于有組織的方式 許多人根本不修補(bǔ)，因?yàn)檎谶M(jìn)行的軟件開(kāi)發(fā)根本不在特定類型的設(shè)備的預(yù)算中。

雖然一般來(lái)說(shuō)，IT GRC訪問(wèn)控制解決方案可以通過(guò)自動(dòng)化工作流程，及時(shí)提供風(fēng)險(xiǎn)情報(bào)來(lái)指導(dǎo)決策，來(lái)增加網(wǎng)絡(luò)防護(hù)能力。但政策、培訓(xùn)計(jì)劃和信息治理框架都同樣重要。

因此，要防范此前美國(guó)信用評(píng)級(jí)機(jī)構(gòu)Equifax遭受到的網(wǎng)絡(luò)攻擊，顯然要企業(yè)擁有全面、靈活的IT風(fēng)險(xiǎn)管理策略才能應(yīng)對(duì)。具體可以展開(kāi)以下策略：

對(duì)于這些新興的聯(lián)網(wǎng)設(shè)備，哪些位置需要安全控制，以及如何部署有效地控制。鑒于這些設(shè)備的多樣性，企業(yè)將需要進(jìn)行自定義風(fēng)險(xiǎn)評(píng)估，以發(fā)現(xiàn)有哪些風(fēng)險(xiǎn)以及如何控制這些風(fēng)險(xiǎn)。

企業(yè)必須能夠識(shí)別IoT設(shè)備上的合法和惡意流量模式，并快速了解如何快速修復(fù)IoT設(shè)備漏洞以及如何優(yōu)先排序漏洞修復(fù)工作。

企業(yè)還應(yīng)該隔離IoT設(shè)備到vLAN或獨(dú)立的網(wǎng)段進(jìn)行有效監(jiān)管。